A Microsoft Defender for Identity-érzékelő hibaelhárítása a Defender for Identity-naplók használatával
A Defender for Identity naplói betekintést nyújtanak abba, hogy a Microsoft Defender for Identity-érzékelő egyes összetevői mit csinálnak egy adott időpontban.
A Defender for Identity naplói egy Naplók nevű almappában találhatók, ahol a Defender for Identity telepítve van. Az alapértelmezett hely a következő: C:\Program Files\Azure Advanced Threat Protection Sensor\. Az alapértelmezett telepítési helyen a következő helyen található: C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs.
Defender for Identity sensor logs
A Defender for Identity-érzékelő a következő naplókkal rendelkezik:
Microsoft.Tri.Sensor.log – Ez a napló mindent tartalmaz, ami a Defender for Identity érzékelőben történik (beleértve a felbontást és a hibákat). Fő felhasználási célja az összes művelet általános állapotának lekérése abban az időrendi sorrendben, amelyben a műveletek történtek.
Microsoft.Tri.Sensor-Errors.log – Ez a napló csak a Defender for Identity érzékelő által észlelt hibákat tartalmazza. Fő felhasználási célja az állapotellenőrzések elvégzése és az adott időpontokkal korrelálandó problémák kivizsgálása.
Microsoft.Tri.Sensor.Updater.log – Ezt a naplót használja az érzékelőfrissítési folyamat, amely a Defender for Identity érzékelő automatikus frissítéséért felelős.
Microsoft.Tri.Sensor.Updater-Errors.log – Ez a napló csak azokat a hibákat tartalmazza, amelyeket a Defender for Identity érzékelő frissítője észlelt. Fő felhasználási célja az állapotellenőrzések elvégzése és az adott időpontokkal korrelálandó problémák kivizsgálása.
Feljegyzés
A naplófájlok maximális mérete legfeljebb 50 MB. Ha eléri ezt a méretet, egy új naplófájl nyílik meg, és az előzőt átnevezi az "<eredeti fájlnév-Archiválva-00000>" névre, ahol a szám minden átnevezéskor növekszik. Alapértelmezés szerint ha már több mint 10 fájl létezik ugyanabból a típusból, a rendszer törli a legrégebbi fájlt.
A Defender for Identity üzembehelyezési naplói
A Defender for Identity üzembehelyezési naplói a terméket telepítő felhasználó ideiglenes könyvtárában találhatók. Általában a következő helyen található: %U Standard kiadás RPROFILE%\AppData\Local\Temp. Ha egy szolgáltatás üzembe helyezte, előfordulhat, hogy a C:\Windows\Temp helyen található.
A Defender for Identity-érzékelő üzembehelyezési naplói:
Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log – Ez a naplófájl az érzékelő üzembe helyezésének teljes folyamatát biztosítja, és a korábban említett ideiglenes mappában található.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS.log – Ez a napló a Defender for Identity érzékelő üzembe helyezésének lépéseit sorolja fel. Fő felhasználási célja a Defender for Identity-érzékelő üzembehelyezési folyamatának nyomon követése.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log – Ez a naplófájl felsorolja a Defender for Identity érzékelő bináris fájljainak üzembe helyezésének lépéseit. Fő felhasználási célja a Defender for Identity érzékelő bináris fájljainak nyomon követése.
Feljegyzés
Az itt említett üzembehelyezési naplók mellett vannak más naplók is, amelyek az "Azure Advanced Threat Protection" kezdetűek, amelyek további információkat is nyújthatnak az üzembe helyezési folyamatról.